VMware製品の未修正脆弱性、パッチが公開に - CVSS値は下方修正

VMwareの複数製品に未修正の脆弱性「CVE-2020-4006」が見つかった問題で、パッチの提供が開始された。重要度なども見直しされている。

問題の「CVE-2020-4006」は、OSコマンドインジェクションの脆弱性。「VMware Workspace One Access」「同Connector」「VMware Identity Manager（vIDM）」「同Connector」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」などが影響を受ける。

同社は米時間11月23日にアドバイザリを公開。共通脆弱性評価システム「CVSSv3」においてベーススコアを「9.1」、重要度を4段階中もっとも高い「クリティカル（Critical）」と評価して注意を喚起。修正プログラムは開発中とし、回避策の実施を呼びかけていた。

同社は、12月3日にアドバイザリを更新。一部で対象プラットフォームを追加するとともに、アップデートの提供を開始した。

アップデートの公開にあわせて脆弱性のCVSS値を「7.2」へと下方修正を行っており、重要度も1段階低い「重要（Important）」へと変更されている。

（Security NEXT - 2020/12/04 ） ツイート

PR

関連記事

「GUARDIANWALL MailSuite」に深刻な脆弱性 - すでに悪用も
Apple、「iOS 26.5」「iPadOS 26.5」で多数脆弱性を修正 - 旧端末向け更新も
「FortiAuthenticator」に深刻な脆弱性 - 認証なしでコード実行のおそれ
Fortinetのサンドボックス製品に深刻なRCE脆弱性 - 修正版へ更新を
Mozilla、「Firefox 150.0.3」を公開 - 脆弱性5件を修正
MS、5月の月例セキュリティ更新をリリース - 脆弱性118件に対応
JetBrains「TeamCity」にAPI露出の脆弱性 - ゲストも悪用可能
「SandboxJS」にサンドボックス回避のRCE脆弱性
「Exim」に複数脆弱性 - 「クリティカル」との評価も
「pgAdmin 4」に複数脆弱性 - 認証情報漏洩や任意コマンド実行のおそれ